请解释TCP SYN Flood攻击的原理，并说明360安全卫士或360浏览器中通常采用哪些技术手段来防御此类攻击？

360助理安全研究员（漏洞挖掘与利用）难度：中等

答案

1) 【一句话结论】TCP SYN Flood攻击通过大量伪造源IP的SYN请求耗尽目标服务器的半开连接资源，导致正常连接被阻塞；360安全卫士/浏览器常用防御技术包括SYN Cookie、连接速率限制、源IP验证等。

2) 【原理/概念讲解】老师口吻解释：TCP三次握手是建立连接的关键步骤，正常流程是客户端发送SYN（同步序列编号）→服务器返回SYN+ACK（同步确认）→客户端发送ACK（确认），完成三次握手后进入ESTABLISHED状态。而SYN Flood攻击者会伪造大量源IP（通常是随机或无效IP），向目标服务器发送SYN请求，但不会完成后续的ACK步骤，导致服务器在“SYN-SENT”（半开连接）状态积累大量未完成的连接。当服务器的“SYN-SENT队列”满时，新来的正常SYN请求会被直接丢弃（因为队列无法接收新连接），从而阻塞正常用户连接。类比：想象餐厅的等位区，正常用户预订座位（SYN）→等位（SYN-SENT）→服务员确认（SYN+ACK）→入座（ESTABLISHED）。攻击者大量预订座位（SYN）但不来等位（不发送ACK），导致等位区满，新来的正常用户（正常连接请求）无法预订到座位，从而无法入座（建立连接）。

3) 【对比与适用场景】

特性/方面	描述
攻击方式	发送大量伪造源IP的SYN包，利用TCP三次握手的半开连接状态耗尽资源
受影响资源	服务器端的SYN-SENT队列（半开连接队列）
攻击效果	阻塞正常连接，导致服务不可用
使用场景	对目标服务器进行DoS攻击，尤其是Web服务器、FTP服务器等依赖TCP连接的服务

4) 【示例】
伪代码模拟SYN Flood攻击：

import socket
import random

def syn_flood(target_ip, target_port, num_packets):
    for _ in range(num_packets):
        # 伪造源IP（随机或无效IP）
        source_ip = ".".join(map(str, random.randint(0, 255) for _ in range(4)))
        # 创建socket
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        # 设置源IP（伪造）
        s.setsockopt(socket.SOL_IP, socket.IP_SRCADDR, socket.inet_aton(source_ip))
        # 发送SYN包
        s.connect((target_ip, target_port))
        s.send(b'')  # 发送空数据
        s.close()

# 示例：攻击目标服务器192.168.1.100的80端口，发送10000个SYN包
syn_flood("192.168.1.100", 80, 10000)

5) 【面试口播版答案】
“TCP SYN Flood攻击的核心原理是利用TCP三次握手的半开连接状态耗尽目标服务器的资源。具体来说，正常TCP连接需要三次握手完成，而攻击者会伪造大量源IP地址，向目标服务器发送SYN请求，但不会完成后续的ACK步骤，导致服务器在SYN-SENT状态积累大量未完成的连接，当队列满时，正常连接请求会被丢弃，从而实现DoS。360安全卫士和浏览器常用的防御技术包括SYN Cookie（通过随机数和序列号验证连接合法性，避免伪造SYN包）、连接速率限制（限制单位时间内允许的SYN请求数量）、源IP验证（检查源IP是否合法或已知的攻击源）。这些技术能有效应对SYN Flood攻击，保护服务器的连接资源。”

6) 【追问清单】

问题：360安全卫士中SYN Cookie的具体实现原理是什么？
回答要点：SYN Cookie是当服务器收到SYN请求时，如果SYN-SENT队列满，会生成一个包含序列号、随机数和服务器信息的Cookie，发送给客户端；客户端在发送ACK时，必须携带这个Cookie，服务器验证通过后建立连接，否则丢弃请求。
问题：除了SYN Flood，还有哪些常见的DoS攻击类型？360如何防御？
回答要点：常见的DoS攻击包括UDP Flood（发送大量UDP包）、ICMP Flood（发送大量ICMP请求）、HTTP Flood（发送大量HTTP请求）。360通过速率限制、签名检测、行为分析等技术应对这些攻击。
问题：SYN Flood攻击中，攻击者如何伪造源IP？360如何检测和应对？
回答要点：攻击者通常使用僵尸网络（僵尸主机）或随机IP，360通过IP信誉系统、行为分析（如异常的SYN请求模式）检测伪造IP，并封禁或限制这些IP。

7) 【常见坑/雷区】

混淆SYN Flood和DDoS：SYN Flood是DoS的一种，但只针对TCP连接，而DDoS包括多种协议的攻击，容易混淆。
认为防御只需速率限制：速率限制只能缓解，但无法完全防止SYN Flood，因为攻击者可以调整速率，而SYN Cookie能更有效应对。
忽略SYN-SENT队列的耗尽：攻击的核心是耗尽半开连接队列，如果只说速率限制，没有提到队列耗尽，会被认为理解不深。
误解SYN Cookie的作用：认为SYN Cookie是加密，其实它是基于序列号和随机数的验证机制，用于防止伪造SYN包。
忘记360的具体技术：比如360可能使用“SYN Cookie + 速率限制 + 源IP验证”的组合，如果只说其中一个，可能不够全面。